linux OpenSSH版本升级

注意

• 升级openssh 7.5需要注意openssl版本大于等于1.0.1，而linux 6.5及以上版本均达到此要求，即可直接升级。
• 但低于linux 6.5版本的openssl版本均低于1.0.1，所以需先升级openssl，再升级openssh，否则升级不会成功。
• linux 6.4以上openssl大于或等于1.0.1 linux 5.8 openssl为0.9.8e openssh
• 7.5p1要求openssl大于或等于1.0.1 openssh 7.3p1以上版本要求openssl大于或等于0.9.8f

一、redhat7.2 升级至openssh-7.5p1

1、环境

openssh
openssl 1.0.1e
zlib 1.2.7
pam 1.1.8

2、PS

此环境升级至openssh-7.5p1，只需要升级openssh即可

3、实操

A、装依赖包
yum -y install pam-devel zlib-devel openssl-devel

B、备份当前openssh
mv /etc/ssh /etc/ssh.old
mv /etc/pam.d/sshd /tmp/sshd

C、卸载当前openssh
rpm -qa | grep openssh
rpm -e --nodeps openssh-******
rpm -qa | grep openssh
或者直接执行此命令：rpm -qa |grep openssh|xargs -i rpm -e --nodeps {}

D、openssh安装前环境配置
install  -v -m700 -d /var/empty/sshd
chown  -v root:root /var/empty/sshd

E、解压openssh_7.5p1源码并编译安装
tar -zxvf openssh-7.5p1.tar.gz
cd openssh-7.4p1
./configure --prefix=/usr  --sysconfdir=/etc/ssh  --with-md5-passwords  --with-pam  --with-zlib --with-openssl-includes=/usr --with-privsep-path=/var/empty/sshd
make
make install    

F、openssh安装后环境配置
在openssh编译目录执行如下命令
install -v -m755    contrib/ssh-copy-id /usr/bin
install -v -m644    contrib/ssh-copy-id.1 /usr/share/man/man1
install -v -m755 -d /usr/share/doc/openssh-7.5p1
install -v -m644    INSTALL LICENCE OVERVIEW README* /usr/share/doc/openssh-7.5p1
ssh -V              #验证是否升级成功

G、启用OpenSSH服务
在openssh编译目录执行如下目录
echo 'X11Forwarding yes' >> /etc/ssh/sshd_config
echo "PermitRootLogin yes" >> /etc/ssh/sshd_config   #允许root用户通过ssh登录
echo "UsePAM yes" >> /etc/ssh/sshd_config
cp -p contrib/redhat/sshd.init /etc/init.d/sshd
cp -p /tmp/sshd /etc/pam.d/
chmod +x /etc/init.d/sshd
chkconfig  --add  sshd
chkconfig  sshd  on
chkconfig  --list  sshd
systemctl restart sshd

二、redhat6.8升级至openssh-7.5p1

1、环境

openssh
openssl 1.0.1e
zlib 1.2.3-29
pam 1.1.1-22

2、PS

此环境升级至openssh-7.5p1，只需要升级openssh即可

3、实操

1、查看linux版本

cat /etc/redhat-release

2、查看openssh及openssl版本

ssh -V
-----------------------------------------------------------
3、上传openssh安装包

cd /root/
mkdir ssh_upgrade
cd ssh_upgrade
上传openssh安装包

-----------------------------------------------------------
4、卸载原openssh版本

查看当前openssh版本
ssh -V 
    
卸载原有openssh
yum remove openssh -y

----------------------------------------------------------
5、安装openssh所需包
   
配置yum源
----------------------
ISO文件源
cd /etc/yum.repos.d/

#vi /etc/yum.repos.d/rhel-source.repo------rhel 6.0

[rhel-source]  
name=Red Hat Enterprise Server 6.8  
baseurl=file:///media/cdrom  
enable=1  
gpgcheck=0  
gpgkey=file:///media/cdrom/RPM-GPG-KEY-redhat-release

Transaction Check Error:  
  file /usr/share/java/commons-codec.jar from install of jakarta-commons-codec-0:1.3-11.7.el6.x86_64 conflicts with file from package apache-commons-codec-1.1-2.2.noarch  
  
Error Summary

删除/etc/yum.repos.d/ 目录下有个文件名为'packagekit-media.repo' 

若出现NOKEY的情况，需要导入密钥。

rpm  --import  /etc/pki/rpm-gpg/R[Tab键] -release

安装 gcc、openssl和zlib
yum -y install gcc openssl-devel zlib-devel
-----------------------
本地文件源
cd /etc/yum.repos.d/
more media.repo 

[local]
name=CentOS 6
baseurl=file:///media/cdrom
gpgcheck=0
enabled=1
gpgkey=file:///media/cdrom/RPM-GPG-KEY-CentOS-6

清理yum缓存
#yum clean all
将服务器软件包信息缓存至本地，提高搜索安装效率
#yum makecache

----------------------------------------------------------
6、安装openssh 7.5

vi /etc/sysconfig/networking/devices/ifcfg-eth0--网卡没启动

onboot=yes

tar zxvf openssh-7.5p1.tar.gz
cd openssh-7.5p1
./configure

./configure时报错C compiler cannot create executables

rpm -qa gcc*
yum remove gcc -y
yum -y install gcc*

make
make install

---------------------------------------------------------
7、修改相关ssh服务配置文件

拷贝ssh服务文件
cd openssh-7.5p1
cp sshd_config /etc/ssh/sshd_config
cp ./contrib/redhat/sshd.init /etc/init.d/sshd
chmod +x /etc/init.d/sshd

修改SSHD服务文件

vi /etc/init.d/sshd

修改以下内容
SSHD=/usr/sbin/sshd 为 SSHD=/usr/local/sbin/sshd
/usr/sbin/ssh-keygen -A 为 /usr/local/bin/ssh-keygen -A 

openssh安装好默认是不执行sshd_config文件的，所以即使在sshd_config中配置允许root用户远程登录，但是不加上这句命令，还是不会生效！

在 ‘$SSHD $OPTIONS && success || failure’这一行上面加上一行 ‘OPTIONS="-f /etc/ssh/sshd_config"’

保存退出

加入系统服务
chkconfig --add sshd

查看系统启动服务是否增加改项

chkconfig --list |grep sshd
 
sshd               0:off    1:off    2:on    3:on    4:on    5:on    6:off

#cp /usr/local/sbin/sshd /usr/bin/

------------------------------------------------------------
8、允许root用户远程登录
vi /etc/ssh/sshd_config 修改 PermitRootLogin yes,并去掉注释
PasswordAuthentication yes

echo "PermitRootLogin yes" >> /etc/ssh/sshd_config   #允许root用户通过ssh登录

配置允许root用户远程登录

重启sshd服务
service sshd restart



------------关闭防火墙
serivce iptables status
service iptables stop
chkconfig iptables off （设置自动启动为关闭）

------------SFTP配置
SecureCRT不能上传文件的解决办法：
将 /etc/ssh/sshd_config 中的
Subsystem      sftp    /usr/libexec/openssh/sftp-server 
改为
Subsystem       sftp    internal-sftp
重启sshd后，sftp正常工作了。

vi /etc/ssh/sshd_config，找到UsePAM no，去掉注释，并改为：UsePAM yes

三、redhat6.7升级至openssh-7.4p1

导语

Redhat企业级系统的6.7版自带SSH版本为OpenSSH_5.3p1, 基于审计和安全性需求，建议将其升级到最新的OpenSSH版本，当前官网最新版本为7.4p1. 本文档将详细介绍OpenSSH升级的完整步骤。需要说明的是，升级过程中虽然涉及zlib、openssl和openssh的卸载，但是并不会导致当前的ssh远程连接会话断开，因此是可以将整个升级过程写成自动化脚本以进行自动批量部署的。

步骤

1、准备工作

1.1、下载相关软件包

OpenSSH需要依赖ZLIB和OpenSSL，因此需要从官网下载三者的源码包。需要注意的是：OpenSSH最新版7.4p1依赖的OpenSSL版本为1.0.2k，而不是其最新版1.1.0e（使用此版会升级失败）,ZLIB可以使用最新版1.2.11。redhat6.7自带的zlib版本为1.2.3，也可不进行升级。 三者源码下载地址：

http://www.zlib.net/
http://www.openssl.org/
http://www.openssh.org/

1.2、查看系统当前软件版本

# rpm -q zlib
# openssl version
# ssh -V

1.3、配置本地yum源
因安装相关工具和编译源码需要先安装部分软件包，因此需要先配置好本地yum源（如有远程yum源更好），配置方法如下：
A、将操作系统镜像上传到服务器中，进行挂载

mount -o loop rhel-server-6.7-x86_64-dvd.iso /mnt        #此处挂载目录可自行指定

B、配置yum源文件

# cd /etc/yum.repos.d
# rm -rf *                     #删除当前所有yum源文件
# vi rhel6.7.repo
# cat rhel6.7repo           #向新建的yum源文件中加入如下内容
[Server]
name=RHELServer
baseurl=file:///mnt/Server
enabled=1
gpgcheck=0
[ResilientStorage]
name=RHELResilientStorage
baseurl=file:///mnt/ResilientStorage
enabled=1
gpgcheck=0
[ScalableFileSystem]
name=RHELScalableFileSystem
baseurl=file:///mnt/ScalableFileSystem
enabled=1
gpgcheck=0
[HighAvailability]
name=RHELHighAvailability
baseurl=file:///mnt/HighAvailability
enabled=1
gpgcheck=0
[LoadBalancer]
name=RHELLoadBalancer
baseurl=file:///mnt/LoadBalancer
enabled=1
gpgcheck=0
# yum clean all       #清除yum缓存，使当前配置生效
# yum list            #查看是否配置成功

1.4、安装telnet服务并启用
因升级OpenSSH过程中需要卸载现有OpenSSH, 因此为了保持服务器的远程连接可用，需要启用telnet服务作为替代，如升级出现问题，也可通过telnet登录服务器进行回退。
A、安装telnet服务

# yum -y install telnet-server*

B、启用telnet

先关闭防火墙，否则telnet可能无法连接
# service iptables stop
# chkconfig iptables off
# vi /etc/xinetd.d/telnet
将其中disable字段的yes改为no以启用telnet服务
# mv /etc/securetty /etc/securetty.old    #允许root用户通过telnet登录
# service xinetd start                    #启动telnet服务
# chkconfig xinetd on                     #使telnet服务开机启动，避免升级过程中服务器意外重启后无法远程登录系统
# telnet [ip]                             #新开启一个远程终端以telnet登录验证是否成功启用

1.5、安装编译所需工具包

yum -y install gcc pam-devel zlib-devel

2、正式升级

2.1、升级ZLIB
A、解压zlib_1.2.11源码并编译

# tar -zxvf zlib-1.2.11.tar.gz
# cd zlib-1.2.11
# ./configure --prefix=/usr
# make

B、卸载当前zlib
注意：此步骤必须在步骤A执行完毕后再执行，否则先卸载zlib后，/lib64/目录下的zlib相关库文件会被删除，步骤A编译zlib会失败。（补救措施：从其他相同系统的服务器上复制/lib64、/usr/lib和/usr/lib64目录下的libcrypto.so.10、libssl.so.10、libz.so.1、libz.so.1.2.3四个文件到相应目录即可。可通过whereis、locate或find命令找到这些文件的位置

# rpm -e --nodeps zlib

C、安装之前编译好的zlib

# 在zlib编译目录执行如下命令
# make install

D、共享库注册
zlib安装完成后，会在/usr/lib目录中生产zlib相关库文件，需要将这些共享库文件注册到系统中。

# echo '/usr/lib' >> /etc/ld.so.conf
# ldconfig                    #更新共享库cache
或者采用如下方式也可
# ln -s  /usr/lib/libz.so.1 libz.so.1.2.11
# ln -s  /usr/lib/libz.so libz.so.1.2.11
# ln -s  /usr/lib/libz.so.1 /lib/libz.so.1
# ldconfig

可通过yum list命令验证是否更新成功（更新失败yum不可用），另外redhat和centos的5.*版本不支持高于1.2.3的zlib版本。

2.2、升级OpenSSL
A、备份当前openssl

# find / -name openssl
/usr/lib64/openssl
/usr/bin/openssl
/etc/pki/ca-trust/extracted/openssl

# mv  /usr/lib64/openssl /usr/lib64/openssl.old
# mv  /usr/bin/openssl  /usr/bin/openssl.old
# mv  /etc/pki/ca-trust/extracted/openssl  /etc/pki/ca-trust/extracted/openssl.old
  如下两个库文件必须先备份，因系统内部分工具（如yum、wget等）依赖此库，而新版OpenSSL不包含这两个库
  # cp  /usr/lib64/libcrypto.so.10  /usr/lib64/libcrypto.so.10.old
  # cp  /usr/lib64/libssl.so.10  /usr/lib64/libssl.so.10.old

B、卸载当前openssl

# rpm -qa | grep openssl
openssl-1.0.1e-42.el6.x86_64

# rpm -e --nodeps openssl-1.0.1e-42.el6.x86_64
# rpm -qa | grep openssl
或者直接执行此命令：rpm -qa |grep openssl|xargs -i rpm -e --nodeps {}

C、解压openssl_1.0.2k源码并编译安装

# tar -zxvf openssl-1.0.2k.tar.gz
# cd openssl-1.0.2k
# ./config --prefix=/usr --openssldir=/etc/ssl --shared zlib    #必须加上--shared，否则编译时会找不到新安装的openssl的库而报错
# make
# make test                            #必须执行这一步结果为pass才能继续，否则即使安装完成，ssh也无法使用
# make install
# openssl version -a                   #查看是否升级成功

D、恢复共享库
由于OpenSSL_1.0.2k不提供libcrypto.so.10和libssl.so.10这两个库，而yum、wget等工具又依赖此库，因此需要将先前备份的这两个库进行恢复，其他的可视情况考虑是否恢复。

# mv  /usr/lib64/libcrypto.so.10.old  /usr/lib64/libcrypto.so.10
# mv  /usr/lib64/libssl.so.10.old  /usr/lib64/libssl.so.10

2.3、升级OpenSSH
A、备份当前openssh

# mv /etc/ssh /etc/ssh.old

B、卸载当前openssh

# rpm -qa | grep openssh
openssh-clients-5.3p1-111.el6.x86_64
openssh-server-5.3p1-111.el6.x86_64
openssh-5.3p1-111.el6.x86_64
openssh-askpass-5.3p1-111.el6.x86_64

# rpm -e --nodeps openssh-5.3p1-111.el6.x86_64
# rpm -e --nodeps openssh-server-5.3p1-111.el6.x86_64
# rpm -e --nodeps openssh-clients-5.3p1-111.el6.x86_64
# rpm -e --nodeps openssh-askpass-5.3p1-111.el6.x86_64
# rpm -qa | grep openssh
或者直接执行此命令：rpm -qa |grep openssh|xargs -i rpm -e --nodeps {}

C、openssh安装前环境配置

# install  -v -m700 -d /var/lib/sshd
# chown  -v root:sys /var/lib/sshd
# groupadd -g 50 sshd
# useradd  -c 'sshd PrivSep' -d /var/lib/sshd -g sshd -s /bin/false -u 50 sshd

D、解压openssh_7.4p1源码并编译安装

# tar -zxvf openssh-7.4p1.tar.gz
# cd openssh-7.4p1
# ./configure --prefix=/usr  --sysconfdir=/etc/ssh  --with-md5-passwords  --with-pam  --with-zlib --with-openssl-includes=/usr --with-privsep-path=/var/lib/sshd
# make
# make install

E、openssh安装后环境配置

# 在openssh编译目录执行如下命令
# install -v -m755    contrib/ssh-copy-id /usr/bin
# install -v -m644    contrib/ssh-copy-id.1 /usr/share/man/man1
# install -v -m755 -d /usr/share/doc/openssh-7.4p1
# install -v -m644    INSTALL LICENCE OVERVIEW README* /usr/share/doc/openssh-7.4p1
# ssh -V              #验证是否升级成功

F、启用OpenSSH服务

# 在openssh编译目录执行如下目录
# echo 'X11Forwarding yes' >> /etc/ssh/sshd_config
# echo "PermitRootLogin yes" >> /etc/ssh/sshd_config   #允许root用户通过ssh登录
# cp -p contrib/redhat/sshd.init /etc/init.d/sshd
# chmod +x /etc/init.d/sshd
# chkconfig  --add  sshd
# chkconfig  sshd  on
# chkconfig  --list  sshd
# service sshd restart
注意：如果升级操作一直是在ssh远程会话中进行的，上述sshd服务重启命令可能导致会话断开并无法使用ssh再行登入（即ssh未能成功重启），此时需要通过telnet登入再执行sshd服务重启命令。

3、善后工作
新开启远程终端以ssh [ip]登录系统，确认一切正常升级成功后，只需关闭telnet服务以保证系统安全性即可。

# mv /etc/securetty.old /etc/securetty
# chkconfig  xinetd off
# service xinetd stop
  如有必要，可重新开启防火墙
  # service iptables start
  # chkconfig iptables on

如需还原之前的ssh配置信息，可直接删除升级后的配置信息，恢复备份。

# rm -rf /etc/ssh
# mv /etc/ssh.old /etc/ssh